“三英戰呂布”，看我如何抓出那些流氓APP

摘要： “三英戰呂布”，看我如何抓出那些流氓APP 在今年網際網路凜冬來臨的時候，整個圈子卻火了一把，網際網路眾諸侯（頭條、王欣、羅永浩）組成“復仇者聯盟”紛紛做起了IM，並在同一天釋出新產品，不過企鵝帝國深知“星星之火，可以燎原”，三個產品剛問世，企鵝帝國就以“迅雷不及掩耳之勢”，憑藉強大產品...

“三英戰呂布”，看我如何抓出那些流氓APP

在今年網際網路凜冬來臨的時候，整個圈子卻火了一把，網際網路眾諸侯（頭條、王欣、羅永浩）組成“復仇者聯盟”紛紛做起了IM，並在同一天釋出新產品，不過企鵝帝國深知“星星之火，可以燎原”，三個產品剛問世，企鵝帝國就以“迅雷不及掩耳之勢”，憑藉強大產品矩陣將其在各個渠道封殺，撕逼大戰正式開始。 吃瓜群眾一邊是感嘆騰訊的胸襟，一邊是評論新IM的產品體驗，突然之間我又看到了一篇自媒體叫“今日”無隱私，“頭條”在監控？，突然來了靈感，何不調查一下整個網際網路究竟是誰家的APP在監控這大眾的隱私。

眾多的APP一會申請使用者通訊錄許可權，一會又要申請讀取通話記錄許可權等等，這些申請的許可權往往和實現相關功能或獲取相關資料有關，究竟我們常用的APP需要申請了多少許可權？哪家的APP申請的許可權更多？小編我準備對此做一下調查，讓大家真正的瞭解誰才是惡人。

一、開土動工，調研四大派系

江湖傳言網際網路一直存在BAT（百度、騰訊、阿里）、TMD（頭條、美團、滴滴）派系，那麼就在TOP1000的APP排行榜單上全部下載這個幾個派系的產品，發現其實美團、滴滴派系產品相對四大家族百度、騰訊、阿里、頭條較少，那我調研的物件就直接對準四大家族吧，畢竟他們基本代表了中國網際網路的發展水平。

騰訊派系： 微信、QQ、應用寶、騰訊WiFi管家、手機管家等；

阿里派系： 手機淘寶、天貓、UC頭條、優酷、支付寶等；

百度派系： 百度錢包、百度文庫、手機百度、百度網盤、百度地圖等；

頭條派系： 今日頭條、抖音、西瓜視訊、火山小視訊、懂車帝、Faceu激萌、悟空問答等。

二、沒有最多，只有更多

在各個APP的AndroidManifest.xml中將申請的許可權都提取出來做統計，因為發現自定義的許可權實在太多了，所以這裡僅過濾了Android原生的許可權，然後各取前七名然後做一個排行。

從申請android許可權個數來看，騰訊系的APP 應用寶、騰訊WiFi管家、手機管家等均排在前列，申請的android許可權數量達到了60~70個許可權，而頭條系的APP android許可權申請數量普遍比較少，今日頭條、火山小視訊等幾乎只有騰訊系前三甲的一半。市面上一些APP往往會申請很多與APP本身功能無關的許可權，從而獲取更多使用者資訊或資料，從上圖許可權申請的情況來看：騰訊還是那麼“拔尖”，頭條相對其他家，可謂是圈中清流、業界良心。

我將資料做了分類，將一些涉及使用者資訊(通訊錄、簡訊、通話記錄等)的許可權標記為敏感許可權，做了一個比較直觀雷達圖，結果似乎出乎意料卻又在意料之中。

三、流氓的背後是使用者資訊的裸奔

App申請了這麼多許可權但是真的是功能需要嗎？於是我搞了一個簡單的程式碼掃描，粗略的掃了一下一些相關的API呼叫。

1. 獲取通訊錄聯絡人

“獲取通訊錄聯絡人”相關功能。通過程式碼掃描發現，將近一半的APP，比如微信、手機管家、騰訊WiFi管家、錢盾、釘釘、菜鳥裹裹、百度地圖、百度貼吧等均有獲取使用者通訊錄的行為，以下是通過反編譯手機管家APP，發現的程式碼中讀取通訊錄相關的程式碼。

微信、釘釘獲取通訊錄聯絡人我們可以理解，手機管家、騰訊WiFi管家、百度地圖等需要這個幹嘛呢？其實都是利益使然，手機APP調取使用者部分隱私資訊成為常態現象，通過收集該部分資訊也有利於應用為使用者提供更好的服務體驗。但部分企業的APP對使用者許可權調取存在疑似越界現象，該種行為對使用者隱私造成侵犯，網路隱私不應該成為企業牟利工具。

2. Root提權功能

獲取隱私什麼的大家估計都快習慣了，所以我想到了一個更加刺激的東西，就是root！為此，我寫了一個小程式，就是迴圈判斷是否有程序獲取了root許可權，然後找了一些朋友，把這東西放到他們手機裡邊做監控。root許可權大家使用的還是比較少的，不會把APP做的跟病毒似的。

最後監控到的APP有：Kingroot、淨化大師、騰訊手機管家、Baidu 輸入法、百度刷機存在該功能。

root提權是非常有風險的APP行為，一旦提權成功以後，該APP可以進行很多風險操作，如獲取其他應用的資料，篡改系統檔案，修改系統。

讓我比較費解（其實也正常，繼承了百度一貫的作風，畢竟我記得三年前百度系應用還留過後門）的是Baidu輸入法，居然也會root？而測試的頭條系相關的抖音、火山、今日頭條等均未有發現有提權相關行為，還是上面的那句話，頭條在業界算是良心派系。

四、監管刻不容緩

國家監管部門對於市場上各個APP的許可權申請也一直在做各種各樣的監管，其目標就是使得APP不要過多地申請與本身功能無關的許可權，從而更好地保護使用者隱私和使用者敏感資料。

2017年頒佈實施的《網路安全法》也明確指出“網路產品、服務具有收集使用者資訊功能的，其提供者應當向用戶明示並取得同意；涉及使用者個人資訊的，還應當遵守本法和有關法律、行政法規關於個人資訊保護的規定”，國家也不斷的加強監控，但是作為這些巨頭網際網路在APP開發和釋出上也應該嚴格控制權限的申請，遵守國家規定，使用者在使用的時候也應該謹慎授權。

*本文作者：TopSec123，轉載請註明來自FreeBuf.COM